Закрыто Вирус майнер (John)

Статус
В этой теме нельзя размещать новые ответы.
belik

belik

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте, ещё давно попался вирус на компьютер, но вроде как удалил его и забыл. Вчера зашёл в пользователей и увидел двух скрытых: John и Default. Сейчас думаю, что он по прежнему продолжает тормозить ноут. Прикрепляю логи.
 

Вложения

  • CollectionLog-2023.09.15-18.54.zip
    168.1 KB · Просмотры: 3
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HP\HP Print Scan Doctor (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Outbyte\PC Repair (empty)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\WINDOWS\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Прикрепляю.
 

Вложения

  • FRST.txt
    89.2 KB · Просмотры: 3
  • Addition.txt
    120.9 KB · Просмотры: 2
В логах виден Bitdefender Agent нужно доудалить и немного мусора. Ну и Malwarebytes лучше убрать

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-3293156229-3818535354-3420886910-1001\...\Run: [YandexBrowserAutoLaunch_6D1575D0B82CC132922E2CF48C6E1AF6] => "C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-3293156229-3818535354-3420886910-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {CBEE0221-B529-4461-A43C-02DE7D1E13BE} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3293156229-3818535354-3420886910-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {03BE0CFF-26D5-4B34-8F99-91C99E6765C6} - System32\Tasks\Repairing Yandex Browser update service => C:\Program Files (x86)\Yandex\YandexBrowser\22.1.2.833\service_update.exe  --repair (Нет файла)
Task: {5E1F361E-AD59-4132-AFF0-FBBE1F612A6F} - System32\Tasks\System update for Yandex Browser => C:\Program Files (x86)\Yandex\YandexBrowser\22.1.2.833\service_update.exe  --run-as-launcher (Нет файла)
Task: {CD2F5027-EF1C-4F2C-A7DA-CB1621B4FA09} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
AlternateDataStreams: C:\Users\bmaks\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\bmaks\Downloads\memreduct-3.4-setup.exe:MBAM.Zone.Identifier [170]
AlternateDataStreams: C:\Users\bmaks\Downloads\MSERT.exe:MBAM.Zone.Identifier [195]
AlternateDataStreams: C:\Users\bmaks\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2600]
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Прикрепляю.
 

Вложения

  • Fixlog.txt
    7.1 KB · Просмотры: 2
что с проблемой?
 
Скорее всего проблема ушла, но интересует еще один вопрос. Нормально, что пользователь John так и остался?
 

Вложения

  • 1695068728757.png
    1695068728757.png
    23.3 KB · Просмотры: 24
Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 
Прикрепляю. Папка с пользователем так и осталась.
 

Вложения

  • AV_block_remove_2023.09.20-14.45.log
    16.5 KB · Просмотры: 5
Удалите старые и соберите новые логи FRST.txt и Addition.txt, только предварительно отметьте галочкой пункт "Файлы за 90 дней".
 
@belik, наша помощь ещё требуется?
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу